LMi-MAG 12 mars - Flipbook - Page 55
a récemment démontré que même Twitter n’était pas à
l’abri de la stéganographie et qu’il était possible d’abuser
des images de la plateforme pour y insérer des archives
ZIP pouvant atteindre 3 Mo.
Cependant, en plus d’utiliser des techniques d’obscurcissement, de stéganographie et d’empaquetage de logiciels malveillants, les acteurs mal intentionnés profitent
souvent aujourd’hui de services, de plateformes, de protocoles et d’outils légitimes pour mener leurs activités.
Ils peuvent ainsi se fondre dans un trafic ou une activité
qui peut sembler « propre » aux analystes humains et
aux machines. Voici six tactiques que les cybercriminels
utilisent aujourd’hui pour brouiller les pistes.
Abus de plateformes de confiance
qui ne déclenchent pas d’alarme
C’était un thème commun vu par les professionnels de
la sécurité en 2020 que l’on retrouve cette année. Des
services et outils de tests de pénétration, tels que Cobalt
Strike et Ngrok, aux écosystèmes de code open source
établis, comme GitHub, en passant par les sites d’images
et de textes, comme Imgur et Pastebin, les attaquants ont
ciblé un large éventail de plateformes de confiance au
cours des dernières années. En général, Ngrok est utilisé
par des pirates éthiques désireux de collecter des données ou de mettre en place des tunnels fictifs pour les
connexions entrantes dans le cadre d’exercices de bug
bounty ou d’engagements de pentesting. Mais des acteurs
ont abusé de Ngrok pour installer directement des logiciels malveillants de botnet ou pour connecter un service
de communication légitime à un serveur malveillant.
APPROFONDIR
Dans un exemple plus récent, Xavier Mertens du SANS
Institute a repéré un tel échantillon de malware écrit en
Python qui contenait du code en base64 pour installer une
porte dérobée sur le système infecté qui utilisait Ngrok.
L’outil étant largement reconnu, l’attaquant distant pourrait se connecter au système infecté via un tunnel Ngrok,
qui contournerait probablement les pare-feu d’entreprise
ou les protections NAT. GitHub a également été utilisé
pour héberger des logiciels malveillants, d’Octopus Scanner à Gitpaste-12. Récemment, des attaquants rusés ont
abusé de GitHub et d’Imgur en utilisant un script PowerShell open source qui leur a permis d’héberger un script
simple sur GitHub qui calcule la charge utile Cobalt Strike
à partir d’une photo Imgur bénigne. Cobalt Strike est un
outil de sécurité employé par les experts en tests d’intrusion pour simuler des cyberattaques avancées dans le
monde réel, mais comme tout produit logiciel de sécurité,
il peut être détourné par des adversaires.
De même, les outils d’automatisation dont dépendent les
développeurs ne sont pas à l’abri d’une exploitation. En
avril, des attaquants ont abusé des actions GitHub pour
cibler des centaines de dépôts dans une agression automatisée qui utilisait le serveur et les ressources de GitHub
pour le minage de cryptomonnaies. Ces exemples
montrent pourquoi les attaquants trouvent de l’intérêt à
cibler des plateformes légitimes que de nombreux parefeu et outils de surveillance de la sécurité ne bloquent
pas forcément.
Tirer parti de la valeur, de la réputation
ou de la popularité d’une marque
Les problèmes de sécurité de la chaîne logistique logicielle ont peut-être attiré l’attention du public à la suite
de la récente violation de SolarWinds, mais ces attaques
sont en augmentation depuis un certain temps. Que ce
soit sous la forme de typosquatting, de brandjacking ou
de confusion de dépendances (qui a d’abord été révélée
comme une recherche de preuve de concept, mais qui a
ensuite été utilisée à des fins malveillantes), les attaques
« en amont » exploitent la confiance au sein d’écosystèmes
de partenaires connus et capitalisent sur la popularité ou
la réputation d’une marque ou d’un composant logiciel.
Les attaquants cherchent à pousser le code malveillant
en amont vers une base de code de confiance associée à
une marque, qui est ensuite distribuée en aval à la cible
finale : les partenaires, les clients ou les utilisateurs de
cette marque.
Tout système ouvert à tous est également ouvert aux
adversaires. Ainsi, de nombreuses attaques de la chaîne
d’approvisionnement ciblent les écosystèmes à code
source ouvert, dont certains ont mis en place une va
PRA / PCA – PLAN DE
REPRISE D’ACTIVITÉ IT
CONFORMITÉ DES ACCÈS :
IDENTITÉS, ANNUAIRE, SSO
LA SEC VEUT MUSCLER SES
EXIGENCES SUR LA CYBERSÉCURITÉ
Cahier des charges
Cahier des charges
Article
cutt.ly/PRA-PCA-PlanIT
cutt.ly/conformite-Id-SSO
cutt.ly/SEC-cybersecurite